當每個員工成為企業安全的一部分時，擁有一種安全文化(包括教育、IT運營和安全團隊之間的協作以及安全工具)是至關重要的。這是IDG-TECH(talk)在最近進行的一次網絡討論中達成的共識。

[[334408]]

確保企業安全并非易事。這是因為企業在安全方面需要教育和培訓員工，管理和保護數百甚至數千臺設備，以及時刻應對不斷發展的安全威脅。

企業的首席安全官(CSO)和首席信息安全官(CISO)依靠其強大的信息網絡來保持其組織盡可能的安全。IDG TECH(Talk)在Twitter和實時視頻發起了一場討論，與安全專家和科技行業觀察人士一起對2020年企業安全狀況以及如何防范網絡攻擊者進行了探討。

安全意識的缺乏是一個問題

安全意識的缺乏仍然困擾著很多企業，因為企業員工不可避免地犯錯，使企業容易受到攻擊。波士頓學院首席技術專家Peter Salvitti指出，這些錯誤其中包括：弱密碼、電子郵件操作不當、政策和工具過時、沒有監控，以及對數據所在位置的一無所知。

微軟M365卓越中心的安全和法規遵從架構師Wayne Anderson補充說，企業管理者往往對威脅一無所知，即使這意味著可能降低企業的脆弱性，也不愿意改變傳統做法。

他說，“有些企業管理者總是喜歡說這兩句話：‘我們就是這樣做的，我們真的不知道怎么做才對'，以及‘我們只是沒有那么大的目標。'”

Cloud Technology Partners (CTP)公司副總裁兼首席云計算架構師Ed Featherston對于企業如何成為黑客的目標進行了闡述。

他說，“我們經常和客戶建立一個公共共享/存儲點，通常在幾分鐘之內就有人試圖進行攻擊，客戶表示，‘我沒想到會有這種反應’。”

網絡安全專家Scott Schober說，缺乏安全意識也體現在員工的個人行為中，例如在社交媒體上分享過多信息。

如何提高企業安全性

企業可以通過改進密碼策略基礎知識、創建安全系統來驗證密碼是否正在更新，以及對員工進行培訓來解決安全問題。

做好這項工作的一個關鍵方面是增強工作人員對持續安全的參與感，從而創造一種安全文化。企業想讓員工感受到自己是安全解決方案的一部分。

正如Salvitti所說，“企業不要認為員工是薄弱環節，而讓他們參與進來，讓他們成為項目的利益相關者和計劃的一部分。”

技術撰稿人Will Kelly對此表示認同，他說：“這需要更多具有安全意識的員工、開發人員和運營人員。然后使用行業標準的框架、培訓和工具來強化這些人員的安全意識。”

此外，Salvitti強調，IT運營和安全需要協同工作。他說：“IT運營團隊應該與企業的安全團隊合作，不要把他們排除在外，需要讓他們加入。”

Zeus Kerravala在最近發表的一篇《2020年首席信息官的大任務：將安全和IT運營結合在一起》的文章中寫道，通過彌合這些孤立團隊之間的差距，企業可以提高可視性，并具有更好的安全性。

Kerravala寫道，“研究發現，在缺乏安全性和IT之間協作的組織中，修補IT漏洞所需的時間要比擁有良好關系的團隊時間要多出兩周的時間。這種延遲可能使企業面臨破壞業務，損害品牌聲譽，甚至使運營癱瘓的巨大風險。”

Salvitti表示，企業還必須驗證其使用的產品和服務的安全性。他說，“企業需要問自己，是否參與和訂閱了已知的安全框架?是否知道互聯網安全中心(CIS)優秀20個安全控件?是否是負責安全性的行業機構的成員?使用的產品和服務符合最新法規嗎?”

Tapad公司高級信息安全專家Ben Rothke表示，安全層可以為應對黑客攻擊提供緩沖，為員工提供多條防線，并減輕了他們始終保持警惕的壓力。

Rothke說，“企業需要深度防御措施。需要使用防火墻、過濾、防止數據丟失(DLP)、物聯網安全、加密、入侵檢測系統和入侵防御系統(IDS/IPS)、DNS安全、容器安全、Web應用程序防火墻(WAF)、DDoS緩解、云安全等信息安全工具，而且還要注意人身安全。”